أصدرت Microsoft إرشادات جديدة للمؤسسات حول كيفية الحماية من هجمات الدولة القومية المستمرة مثل تلك التي تم الكشف عنها قبل بضعة أيام والتي اخترقت نظام البريد الإلكتروني الخاص بشركتها.
ينصب التركيز الرئيسي للإرشادات على ما يمكن للمؤسسات القيام به للحماية من الجهات الفاعلة في مجال التهديد التي تستخدم تطبيقات OAuth الضارة لإخفاء أنشطتها والحفاظ على الوصول إلى التطبيقات، على الرغم من الجهود المبذولة لإيقافها.
الهجوم على مايكروسوفت بواسطة منتصف الليل عاصفة ثلجية والمعروفة أيضًا باسم Cozy Bear - وهي مجموعة تهديد تابعة لجهاز المخابرات الخارجية الروسية (SVR) - أدت إلى اختراق حسابات البريد الإلكتروني التابعة للعديد من موظفي Microsoft، بما في ذلك القيادة العليا.
على مدار عدة أسابيع بدءًا من أواخر نوفمبر 2023، تمكن المهاجمون من الوصول إلى حسابات البريد الإلكتروني لشركة Microsoft ورسائل البريد الإلكتروني المسربة ومرفقات المستندات في محاولة واضحة لتحديد المعلومات التي قد تكون لدى الشركة حول Midnight Blizzard نفسها.
أظهر ملف حديث لهيئة الأوراق المالية والبورصة والذي ظهر هذا الأسبوع أن جهة التهديد، التي حددتها الحكومة الأمريكية رسميًا على أنها مرتكب اختراق SolarWinds، اخترقت أيضًا شركة Hewlett Packard Enterprise (HPE) بيئة البريد الإلكتروني المستندة إلى السحابة في شهر مايو الماضي. يُعتقد أن الهجمات جزء من جهد أوسع ومستمر لجمع المعلومات الاستخبارية بواسطة SVR/Midnight Blizzard للحملات المستقبلية المحتملة.
في تقريرها مدونة 19 يناير في البداية، كشفت مايكروسوفت عن الهجوم، ووصفت Midnight Blizzard بأنها حصلت على وصول مبدئي إلى بيئتها عبر حساب اختباري قديم غير إنتاجي قام ممثل التهديد باختراقه عبر هجوم رش كلمة المرور. مزيد من التحقيق من قبل الشركة -مفصلة في أحدث بلوق لها هذا الأسبوع - أظهر أن ممثلي Midnight Blizzard استخدموا "عددًا كبيرًا" من عناوين IP السكنية المشروعة لشن هجمات رش كلمات المرور الخاصة بهم ضد الحسابات المستهدفة في Microsoft، والتي تصادف أن أحدها كان الحساب الاختباري الذي قاموا باختراقه. وقالت مايكروسوفت إن استخدام الجهات الفاعلة في مجال التهديد للبنية التحتية للوكيل السكني لشن هجماتها ساعد في التعتيم على نشاطها وتجنب اكتشافها.
إساءة استخدام تطبيقات OAuth
بمجرد حصول المهاجم على حق الوصول الأولي إلى حساب الاختبار، استخدمه لتحديد تطبيق OAuth القديم للاختبار واختراقه مع امتياز الوصول إلى بيئة شركة Microsoft. وقالت مايكروسوفت إنه بعد ذلك "أنشأ الممثل تطبيقات OAuth ضارة إضافية". "لقد قاموا بإنشاء حساب مستخدم جديد لمنح الموافقة في بيئة شركة Microsoft لتطبيقات OAuth الضارة التي يتحكم فيها الممثل."
وقالت مايكروسوفت إن الخصم استخدم تطبيق OAuth القديم الذي قام باختراقه لمنح نفسه حق الوصول الكامل إلى صناديق بريد Office 365 Exchange. وأشارت الشركة إلى أن "إساءة استخدام OAuth يمكّن أيضًا الجهات الفاعلة في مجال التهديد من الحفاظ على الوصول إلى التطبيقات، حتى لو فقدوا الوصول إلى الحساب الذي تم اختراقه في البداية".
يقول Tal Skverer، قائد فريق البحث في Astrix Security، إن ممثلي Midnight Blizzard استفادوا من رموز OAuth الخبيثة لأنهم كانوا على الأرجح يعرفون أنه سيتم اكتشاف وصولهم إلى الحساب المخترق.
ويقول: "بالنظر إلى التدقيق الذي تخضع له حسابات المستخدمين - البشر - عندما يتعلق الأمر بأمنهم، فإن نجاح هجوم رش كلمة المرور في هذه الحالة كان محدودًا بالوقت". "لذلك، بينما كان لديهم [وصول]، قاموا بإنشاء تطبيقات OAuth ووافقوا عليها، مما أدى إلى إنشاء رموز وصول OAuth غير منتهية الصلاحية للمهاجمين."
يقول سكفيرر إن بعض هذه الأذونات يمكن أن تستمر حتى إذا تم تعطيل أو حذف الحساب الذي تم اختراقه في الأصل، مما يسمح للمهاجمين بالاحتفاظ بإمكانية وصولهم حتى لو فقدوا الوصول عبر حساب تم اختراقه في البداية.
إحباط OAuth الضار
قدمت مدونة Microsoft في 25 يناير إرشادات للمؤسسات لتخفيف المخاطر المتعلقة بإساءة استخدام تطبيقات OAuth. تتضمن التوصيات حاجة المؤسسات إلى تدقيق مستويات الامتياز الحالية المرتبطة بجميع الهويات - المستخدم والخدمة على حد سواء - والتركيز على أولئك الذين يتمتعون بامتيازات عالية.
وقالت مايكروسوفت: "يجب فحص الامتياز عن كثب إذا كان ينتمي إلى هوية غير معروفة، أو مرتبط بهويات لم تعد مستخدمة، أو غير مناسبة للغرض". أشارت المدونة إلى أنه عند مراجعة الامتيازات، يجب على المسؤول أن يضع في اعتباره أن المستخدمين والخدمات يمكن أن يتمتعوا في كثير من الأحيان بامتيازات تتجاوز ما يحتاجون إليه.
يجب على المنظمات أيضًا مراجعة الهويات التي تحتوي على انتحال صفة التطبيق نصحت Microsoft بالامتياز في Exchange Online الذي يسمح للخدمات بانتحال شخصية مستخدم وتنفيذ نفس العمليات التي يمكن للمستخدم القيام بها.
وحذرت الشركة من أنه "إذا تم تكوينها بشكل خاطئ، أو لم يتم تحديد نطاقها بشكل مناسب، فيمكن أن تتمتع هذه الهويات بوصول واسع إلى جميع صناديق البريد في البيئة".
وقالت Microsoft إنه يجب على المؤسسات أيضًا التفكير في استخدام سياسات الكشف عن الحالات الشاذة لتحديد تطبيقات OAuth الضارة وعناصر التحكم في تطبيقات الوصول المشروط للمستخدمين الذين يتصلون من الخدمات غير المُدارة.
كيفية اكتشاف عاصفة ثلجية منتصف الليل
وتضمنت المدونة أيضًا إرشادات تفصيلية حول ما يجب البحث عنه في بيانات السجل للبحث عن الأنشطة الضارة واكتشافها مثل تلك المرتبطة بـ Midnight Blizzard.
يقول سكفيرر إن أدوات إدارة الوضعية يمكن أن تساعد المؤسسات في جرد جميع الهويات غير البشرية (NHIs) في بيئتها - خاصة تلك التي تشكل أعلى المخاطر.
"على وجه التحديد، بالنسبة لـ TTPS الذي تستخدمه Midnight Blizzard، ستسلط هذه الأدوات الضوء على تطبيق OAuth غير المستخدم، مع إمكانية الوصول المفرط لانتحال شخصية كل مستخدم عند المصادقة على Office 365 Exchange،" كما يقول.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/microsoft-shares-new-guidance-in-wake-of-midnight-blizzard-cyberattack
- :لديها
- :يكون
- :ليس
- 19
- 2023
- 25
- 7
- a
- الوصول
- الوصول
- حسابي
- الحسابات
- نشاط
- الجهات الفاعلة
- إضافي
- عناوين
- نصح
- التابعة
- ضد
- منذ
- يعرف أيضا باسم
- الكل
- السماح
- يسمح
- أيضا
- an
- و
- إكتشاف عيب خلقي
- التطبيق
- واضح
- تطبيق
- التطبيقات
- بشكل مناسب
- التطبيقات
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- التدقيق
- BE
- دب
- لان
- البداية
- يعتقد
- انتماء
- ينتمي
- Beyond
- محاولة
- المدونة
- على حد سواء
- واسع
- أوسع
- by
- الحملات
- CAN
- حقيبة
- عن كثب
- يأتي
- حول الشركة
- حل وسط
- تسوية
- الرابط
- موافقة
- نظر
- النظر
- ذو شاهد
- ضوابط
- منظمة
- خلق
- حالياًّ
- هجوم الانترنت
- البيانات
- أيام
- وصف
- على الرغم من
- مفصلة
- بكشف أو
- الكشف عن
- كشف
- حدد
- معاق
- إفشاء
- do
- وثيقة
- جهد
- جهود
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- الموظفين
- تمكن
- مشروع
- البيئة
- الهروب
- حتى
- كل
- تبادل
- تنفيذ
- قليل
- إيداع
- تناسب
- تركز
- في حالة
- أجنبي
- رسميا
- تبدأ من
- بالإضافة إلى
- إضافي
- مستقبل
- اكتسبت
- توليد
- Go
- حكومة
- منح
- تجمع
- توجيه
- الإختراق
- كان
- حدث
- يملك
- وجود
- he
- مساعدة
- ساعد
- إخفاء
- مرتفع
- أعلى
- تسليط الضوء
- كيفية
- كيفية
- HTTPS
- الانسان
- مطاردة
- محدد
- تحديد
- المتطابقات
- هوية
- if
- in
- تتضمن
- شامل
- بما فيه
- تسلل
- معلومات
- البنية التحتية
- في البداية
- في البداية
- رؤيتنا
- المخزون
- تحقيق
- IP
- عناوين الانترنت بروتوكول
- IT
- انها
- نفسها
- يناير
- JPG
- احتفظ
- القفل
- اسم العائلة
- متأخر
- آخر
- إطلاق
- قيادة
- القيادة
- إرث
- شرعي
- ومستوياتها
- الاستدانة
- مثل
- على الأرجح
- سجل
- يعد
- بحث
- فقد
- المحافظة
- خبيث
- إدارة
- أدوات إدارة
- مايو..
- مایکروسافت
- منتصف الليل
- ربما
- مانع
- سوء استخدام
- مخففا
- التخفيف من المخاطر
- الأكثر من ذلك
- حاجة
- جديد
- لا
- وأشار
- نوفمبر
- عدد
- أوث
- of
- عرضت
- Office
- غالبا
- on
- ONE
- جارية
- online
- عمليات
- or
- المنظمات
- في الأصل
- خارج
- على مدى
- الخاصة
- جزء
- كلمة المرور
- فترة
- أذونات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- تشكل
- محتمل
- امتياز
- متميز
- الامتيازات
- حماية
- الوكيل
- غرض
- الأخيرة
- ساندي خ. ميليك
- ذات صلة
- صدر
- تطلب
- بحث
- سكني
- احتفظ
- مراجعة
- المخاطرة
- المخاطر
- روسيا
- s
- قال
- نفسه
- يقول
- فحص دقيق
- ثانية
- سيك الإيداع
- أمن
- كبير
- القيادة العليا
- الخدمة
- خدماتنا
- عدة
- مشاركة
- ينبغي
- أظهرت
- So
- سولارويندز
- على وجه التحديد
- بعد ذلك
- تحقيق النجاح
- هذه
- نظام
- المستهدفة
- فريق
- تجربه بالعربي
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- تشبه
- هم
- هذا الأسبوع
- هؤلاء
- التهديد
- الجهات التهديد
- عبر
- إلى
- الرموز
- أدوات
- غير معروف
- غير المستخدمة
- us
- الحكومة الأمريكية
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- كبير
- بواسطة
- استيقظ
- حذر
- وكان
- أسبوع
- أسابيع
- ابحث عن
- متى
- التي
- في حين
- مع
- سوف
- زفيرنت